An toàn thông tin trong lĩnh vực ngân hàng phải hướng tới tiêu chuẩn quốc tế

Đây là một nội dung trao đổi tại Hội thảo “Tiêu chuẩn về An toàn thông tin trong lĩnh vực Ngân hàng” do Ngân hàng Nhà nước Việt Nam (NHNN) và Bộ Thông tin và Truyền thông, cùng các đơn vị liên quan phối hợp tổ chức ngày 16/8.

Theo các chuyên gia, cuộc cách mạng công nghiệp lần thứ 4 đang diễn ra tại nhiều nước phát triển, mang đến cơ hội thay đổi bộ mặt các nền kinh tế. Hệ thống ngân hàng theo đó cũng có bước phát triển cả về quy mô tài sản, nguồn vốn và mạng lưới. Đặc biệt, việc chuyển dịch sang ngân hàng số một mặt giúp các ngân hàng cung cấp dịch vụ hiện đại, tiện ích cho khách hàng, nhưng mặt khác các ngân hàng cũng phải đối mặt với nhiều rủi ro về an ninh công nghệ, bảo mật thông tin bao gồm các nguy cơ đến từ việc gian lận tài chính, tấn công có chủ đích, thất thoát dữ liệu quan trọng hoặc lây nhiễm mã độc.

Trước thực tế này, ngày 10/5/2017, Thủ tướng Chính phủ đã có Quyết định số 632/QĐ-TTg ban hành các lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và danh mục hệ thống thông tin quan trọng quốc gia, trong đó lĩnh vực ngân hàng thuộc 11 lĩnh vực quan trọng cần ưu tiên.

Ông Nguyễn Quang Hưng cho biết, nhiều ngân hàng tại Việt Nam đã áp dụng các tiêu chuẩn an toàn thông tin phổ biến trên thế giới. Ảnh VGP/Huy Thắng.

Ông Nguyễn Quang Hưng, Phó Cục trưởng Cục Công nghệ thông tin (NHNN) cho biết, nhiều ngân hàng tại Việt Nam đã áp dụng các tiêu chuẩn an toàn thông tin phổ biến trên thế giới như ISO 27001, NIST 800-53… Ngoài ra, để bảo đảm an toàn thông tin, Thống đốc NHNN đã ban hành Chỉ thị 03/T-NHNN về tăng cường bảo đảm an ninh, an toàn trong thanh toán điện tử và thanh toán thẻ vào đầu năm 2017; hay mới đây nhất là Quyết định số 630/QĐ-NHNN ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng…

Nhận xét về việc bảo mật thông tin của ngành ngân hàng Việt Nam, theo ông Thanut Pimhataivoot, chuyên gia đến từ Tập đoàn NTT Data Thái Lan, ngành ngân hàng tại Việt Nam đã phát triển được hệ thống bảo mật theo thông lệ quốc tế, cả về quản trị lẫn an ninh, an toàn thông tin. Tuy nhiên, vẫn còn một số tổ chức chưa tuân thủ đầy đủ các quy định, dẫn đến không ít sự cố. Tiêu biểu như việc dùng thẻ từ rất dễ khiến kẻ xấu copy, làm giả, mạo danh dẫn tới việc khách hàng bị mất tiền trong tài khoản.

Phân tích về vấn đề này, ông Nguyễn Huy Dũng, Phó Cục trưởng Cục An toàn thông tin (Bộ Thông tin và Truyền thông) nhấn mạnh, mặc dù ngân hàng là một trong những ngành tiên phong đầu tư lớn để bảo đảm thông tin, nhưng những sự cố mất tiền của khách hàng vẫn tồn tại do bản thân người dùng chưa đủ kỹ năng, kiến thức; các tổ chức tài chính thiếu cập nhật thông tin cho người dùng để hiểu biết về nguy cơ cũng như cách phòng tránh rủi ro.

“Bộ Thông tin và Truyền thông đang tích cực hoàn thiện hành lang pháp lý; trong tháng tới sẽ công bố bộ tiêu chuẩn về an toàn hệ thống thông tin để tăng cường rà soát, giảm thiểu rủi ro.” ông Dũng cho biết.

Dưới góc độ thực tiễn, đại diện Công ty CMC InfoSec kết hợp cùng hãng bảo mật ECQ Thái Lan cũng đã chia sẻ về các tiêu chuẩn ATTT và các nguy cơ ATTT trong ngành ngân hàng dưới góc nhìn của các chuyên gia bảo mật. Đánh giá về tình hình áp dụng và các vấn đề thực tế khi áp dụng các tiêu chuẩn ATTT tại các ngân hàng ở Việt Nam và Thái Lan, ông Hà Thế Phương – Phó Tổng Giám đốc Công ty CMC InfoSec đã đưa ra các giải pháp để kết hợp các tiêu chuẩn cùng các biện pháp bảo mật tốt hơn cho hệ thống ngân hàng tại Việt Nam. Ông Phương đã nêu ra một số hạn chế về ATTT tại các ngân hàng Việt như việc hiện nay, một số dự án đầu tư vào bảo mật vẫn đang tập trung vào mua sắm thiết bị, chưa đầu tư vào nhân sự và đào tạo và việc đầu tư này còn khá manh mún, chưa có chiến lược dài hạn, nhân sự quản lý về CNTT còn thiếu các chứng chỉ cần thiết về bảo mật.

Bên cạnh đó, chuyên gia đến từ CMC InfoSec cũng lưu ý vấn đề tấn công có chủ đích vào hệ thống thông tin của ngân hàng. Các ngân hàng Việt cần bảo đảm có chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS. Đây là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 5 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.

Ông Hà Thế Phương cho biết, việc áp dụng tiêu chuẩn PCI DSS sẽ hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép, hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin, đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ.

Các chuyên gia cho rằng, trước bối cảnh tình hình  ATTT diễn biến ngày càng phức tạp, các  ngân hàng, đơn vị cung cấp cổng thanh toán, tổ chức tài chính…cần nhận thức rõ ràng hơn về vấn đề ATTT, qua đó sớm xây dựng những biện pháp phối hợp với các công ty bảo mật chống lại các mối đe dọa, các cuộc tấn công mạng trong hệ thống của mình.

Huy Thắng

Báo Chính Phủ điện tử